Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /f /im Icloud.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\7ZipSfx.000\iclouds.cmd
- %TEMP%\7ZipSfx.000\error.vbs
- %TEMP%\7ZipSfx.000\ipad.system
- %TEMP%\7ZipSfx.000\IcloudSecurity.lnk
- %HOMEPATH%\IcloudSecurity\Icloud.exe
- %TEMP%\7ZipSfx.001\icloud.cmd
- %TEMP%\7ZipSfx.001\Iclouding.exe
- %TEMP%\7ZipSfx.001\NLTl
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
Создает и запускает на исполнение:
- '%HOMEPATH%\IcloudSecurity\Icloud.exe' and Settings\\%USERNAME%\\IcloudSecurity\\Icloud.exe\"
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c \"\"C:\\DOCUME~1\\%USERNAME%\\LOCALS~1\\Temp\\7ZipSfx.000\\iclouds.cmd\" \"
- '<SYSTEM32>\wscript.exe' \"C:\\DOCUME~1\\%USERNAME%\\LOCALS~1\\Temp\\7ZipSfx.000\\error.vbs\"
- '<SYSTEM32>\cmd.exe' /c \"\"C:\\DOCUME~1\\%USERNAME%\\LOCALS~1\\Temp\\7ZipSfx.001\\icloud.cmd\" \"
- '<SYSTEM32>\cmd.exe' /c vol c:
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\cmd.exe' /c Reg.exe Query \"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\"|Find /I \"ProxyServer\"
- '<SYSTEM32>\reg.exe' Query \"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\"
- '<SYSTEM32>\find.exe' /I \"ProxyServer\"
